Bom, antes de começar, vou resumir o que é um Honeypot (Pote de mel).

Como o proprio nome ja diz, é como um pote de mel para pegar abelhas, ou melhor, funciona como uma armadilha para os invasores, pois ele simula portas abertas e serviços rodando no sistema.

Quando o invasor rodar um 'portscan', terá como resultado falsas portas e serviços rodando; enquanto isso, ele loga tudo que o invasor fizer no sistema.

Existem varios níveis de Honeypots:

• Baixa Interatividade: Serviços Falsos – Listener TCP/UDP – Respostas Falsas
• Média Interatividade: Ambiente falso – Cria uma ilusão de domínio da máquina
• Alta Interatividade: S.O. com serviços comprometidos – Não perceptível ao atacante

O Single Honeypot é um Honeypot de baixa interatividade, pois simula portas e serviços falsos.

Instalação

A instalação do Single Honeypot é muito simples.

Vamos acessar a página abaixo e clicar em: Download

• http://sourceforge.net - Single Honeypot

Após o download, vamos no diretório que baixamos e descompactamos o arquivo "shoneypot-0.2.tar.gz", com o seguinte comando:

tar xzvf shoneypot-0.2.tar.gz

Agora entramos no diretorio "shoneypot" com:

cd shoneypot

E vamos instalar o Script com o seguinte comando:

# sh install.sh

Pronto! Já temos o Shoneypot instalado.

Mais ainda não acabou, agora vamos configurá-lo.

Configuração

O Single Honeypot permite simularmos 'ftp', 'http', 'smtp', 'pop3', Shell, etc.

Agora, vamos renomear 2 arquivos do nosso sistema, e criá-los novamente. Para isso, faremos:

# mv /etc/services /etc/services_original
# mv /etc/inetd.conf /etc/inetd.conf_original

Vamos criar os arquivos novos para o funcionamento do Single Honeypot. Criando o "/etc/services"

# vi /etc/services

Com o seguinte conteúdo:



Podemos fechar o arquivo e salvá-lo como: wq

Agora vamos criar o "/etc/inetd.conf". O "inetd.conf" tem o seguinte formato:

<service_name> <sock_type> <proto> <flags> <user> <server-path> <args>

Sendo assim, nosso "inetd.conf" devera ficar assim:



Pronto! Nosso Honeypot já está criado. Porém, ainda podemos alterar alguns parâmetros no arquivo "/usr/local/shpot/thp.conf".

No caso, ele contém vários tipos de Banners de respostas. As portas que abrimos ( Ex.: WEB(http)), pode 'falar' que está rodando Apache 'versão tal', ou, Microsoft iis 5.0, etc...

Aí basta alterar o que for de gosto de vocês, e após as alterações, reiniciar a máquina. Assim que ela ligar novamente, seu Honeypot já estará rodando.

Para fazer um teste, basta rodar um SCAN, como por exemplo (logue-se como Root):

# nmap -v -sV ip

E ver o resultado. Se quiser, faça uma conexão na Porta 21 (ftp), para isso digite: 'ftp - open - ip' do Honeypot. E depois, enquanto isso, você pode monitorar toda a ação em "/var/log/shpot/".

Referências

• Wikipedia
• Livro: Espionagem Digital

Bom, por enquanto é só isso. Espero que tenham gostado e que seja útil para alguém.

Ricardo Longatto